对于很多人来说,进入园区或建筑的第一个问题就是Wi-Fi和密码是啥。
此时,企业通常有两种选择:其一,直接告知企业自用的Wi-Fi名称和密码;其二,告知访客Wi-Fi和对应的连接方法。前者显然会将企业内部的各种访问端口直接暴露给外来人员,极不安全。而后者则通常对应了一套专门针对访客的访问权限控制,安全很多。
但如果来的是客户、合作伙伴、VIP领导或其他人员呢?如果是企业员工到了其他办公地点或分支机构又当如何呢?而面对越来越复杂的网络和业务环境,运维人员又有怎样的应对之法呢?
01 基于角色的零信任动态安全架构
伴随数字安全观念深入人心,建立一个专门为访客开放的Guest网络已经是大部分企业的基础操作。但在实际应用中,使用企业网络的人员五花八门,连接需求各不相同,只是粗暴的分为内部人员和Guest显然过于草率。要想兼顾体验和安全,按照角色来动态的零信任安全架构才是更合理的方法。而这也正是HPE Aruba Networking的强项。
所谓角色,绝不只是用户的身份和对应访问权限。HPE Aruba Networking将角色分解为位置、时间、身份、终端类型和健康度等众多维度。通过动态感知和建立规则,企业才能在保障安全万无一失的前提下提升用网体验。
举个简单的例子:企业员工带了自己的笔记本来公司办公,那么笔记本上的Office、钉钉等办公软件就应该被允许联网,以方便员工的工作。但如果员工需要访问企业的加密数据库,那么系统则需要额外验证用户的身份和权限。而同样的安全体系不仅要落实到合作伙伴、IoT设备和访客系统之中,更要在企业的分支机构和边缘落地、在Wi-Fi网络中落地。
坦率而言,要在网络能力更强、运管和安全力量都更集中的核心园区实现这些安全防护效果并不难,但要在设备和资源都相当有限的分支机构实现这些效果,并做到统一管理,确是一件及其昂贵且复杂的工程。那么,已经发现问题并给出定义的HPE Aruba Networking又是如何解决的呢?
02 上得了云端,护得住边缘;HPE Aruba Networking Central的安全之道
HPE Aruba Networking Central是HPE Aruba Networking各类网络解决方案的管理核心,除提供各类模块化运维管理功能之外,安全也是HPE Aruba Networking Central的关注重点。
借助SDN技术,HPE Aruba Networking Central可以实现数据平面与管理平面的分离,为更多管理控制功能提供发挥作用的平台。而借助VXLAN技术,HPE Aruba Networking Central则允许用户在数据帧中封装额外的标头,以标识用户组、虚拟流量等信息。两种技术相结合,便能让HPE Aruba Networking Central具备横跨数据中心、园区和分支机构的统一管理能力。
以此为基础,在交换机和AP等一系列接入层设备的辅助下,用户不仅能在园区网内部实现对不同功能、不同操作系统、不同行为设备的识别和管理,更能在包含多个园区及分支机构的大型网络中构建统一管理的安全策略。而在数据中心场景,HPE Aruba Networking推出的CX10000分布式交换机则能通过内置的DPU处理器为用户提供全流量的状态化防火墙服务,以便在不影响用户业务逻辑的前提下,对海量虚拟机、容器和业务产生的庞大东西向流量提供有效的安全服务。
有了横跨多维度的网络动态感知能力,HPE Aruba Networking便能将零信任理念和用户角色、场景相结合,实现更有效、更高效、更全面的安全管理。
此外,为了提升方案的灵活性,HPE Aruba Networking还推出了面向边缘和分支机构场景的安全接入服务边缘(SASE)和云优化的安全分析服务。通过订阅两种服务,用户便可快速实现整网的安全功能拓展。
安全接入服务边缘: 已经部署EdgeConnect SD-WAN、EdgeConnect SD-Branch、EdgeConnect MicroBranch等产品的用户均可获得终端类型识别、应用/用户感知防火墙、深度包检测和应用识别、Web和RUL内容过滤、App和URL声誉分类、入侵检测和保护系统、云安全系统整合等一系列安全功能。而在原有产品和新安全功能的加持下,总部及分支机构IT人员均可通过HPE Aruba Networking Central随时查看边缘场景中有线/无线网络的设备接入、行为、流量、访问内容和系统安全状态,并制定对应的安全防护规则,继而在边缘实现流量的全可视和零信任的安全。
此外,针对风险更高或安全防护需求更严密的边缘场景,HPE Aruba Networking还推出了安全服务边缘(SSE)解决方案,能够帮助用户通过ZTNA,即零信任网络访问,来实现对公有云或自有数据中心资源的安全访问。在ZTNA模式中,SSE服务会接管每个用户、每个终端、每种应用的网络接入,所有网络行为都会受到严格且精细的管理控制,并会被云端完整记录,可供后续的分析查证。如此,不仅内部的攻击无机可乘,用户在广域网中的访问行为也能获得数据中心级别的安全防护。
云优化的安全分析服务: 通过HPE Aruba Networking Central,用户可订阅安全分析服务,从而实现网络应用的全可视和全可控、互联网访问风险评估、安全威胁的发现和防护等一系列功能。对于分支机构多、线上业务多的大型企业集团和连锁类企业而言,安全分析服务提供的云边协同、全面管理特性能帮助用户一改“分而治之”的网络安全和运维格局,显著提升管理能力和运维效率。
03 拥抱AI,让网络管更简单
近年来,AIOps话题在基础架构领域引起了用户的广泛关注。这不仅因为AI能够提升基础架构运行的自动化水平,更因为其能大幅降低运维工作的门槛和工作量,让复杂基础架构也能拥有极高的运行品质以及更低的TCO。因此,AI也成为HPE Aruba Networking Central管理模块的演进重点。
HPE Aruba Networking引入多种AI功能的目标非常明确,即通过自动化提升全生命周期的IT效率。为此,其在围绕网络的三个阶段展开了工作:
Day 0: 通过ZTP(Zero Touch Provisioning,零接触配置)和Installer App来加速网络设备的初始部署和业务开通。
Day 1: 通过AI Insights、Change Logs、Wizard、HPE Aruba Networking Central NetConductor、MultiEdit等工具来简化工作流并进行业务的自动化编排。
Day N: 用过Site Visibility、Client Insights、AI Insights、Dynamic Logs、24/7 TAC等工具来实现设备监控、软件更新、补丁安装、排障工作的自动化水平,继而降低工作量,提升网络运维效率。
为了实现全生命周期的IT效率提升,HPE Aruba Networking Central增加了一系列AI工具及功能。这其中就包括了面向故障检测与系统优化的AI Insights、允许用户使用自然语言搜索庞大网络知识库的AI Search、助力用户解决复杂网络问题并支持自动化TAC和工单的AI Assist、能够精准识别终端类型和行为并能辅助建立安全策略Client Insights、能够自动化进行供流量和应用性能分析的Application Insights……
借助海量AI工具和功能的更新,HPE Aruba Networking Central实现了精确故障定位、更低的故障误报率、更快的排障、面向复杂问题的自动化建议及响应等功能。而对于AI工具中涉及的自然语言相关功能,HPE Aruba Networking 也将会在近期的更新中添加私有的生成式AI模型,进一步提升用户效率和体验。
04 安全AI两手抓的 HPE Aruba Networking;正在创造更好用的网络
以往,HPE Aruba Networking网络解决方案以功能全面、管理便捷和场景化选项丰富著称,在教育、园区、分支机构等领域获得了用户的广泛认可。而现在HPE Aruba Networking则在延续以往特色的基础上,通过全面增强解决方案的安全和AI特性来让网络更安全、更易管,并以此为用户提供更全面、更先进的网络体验。
对此,Aruba中国区技术销售总监俞世丹表示:数字化的业务环境正在快速变革,用户的网络架构和需求也在快速改变。通过对场景和需求的分析,HPE Aruba Networking总结了当前用户面对的两大挑战;其一是如何安全的连接,其二是如何将网络建设、配置和运维工作化繁为简。面对两个维度的问题,HPE Aruba Networking 也给出两个方向的升级。在安全领域,HPE Aruba Networking正在通过硬件产品更新和软件订阅服务帮助用户快速、灵活的获得所需的安全功能,继而在数据中心、园区网和分支机构实现基于角色的零信任动态安全架构。而在化繁为简层面,HPE Aruba Networking 则推出了大量的AI工具来强化网络的自动化水平。
从海量服务和功能、工具更新的着力点来看,HPE Aruba Networking Central就是向两个方向延展的出发点,也是用户获得新一代网络体验的基石。换言之,用户可以通过对已有方案的拓展和对HPE Aruba Networking Central的升级持续提升现有网络,获得领先且与时俱进的体验。
传统优势不放弃,安全AI两手抓;显然,HPE Aruba Networking 仍在技术进步与体验创新的正循环中为用户创造价值。
网友评论